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(57) Abstract 

The invention concerns processes for generating digital signatures for electronic messages. The invention proposes modifying 
signature-generating algorithms, such as DSAs ("Digital Signature Algorithms), in order to enable smart cards witti reduced calculation and 
storage resources to produce digital signatures with a high degree of security in spite of tiicir reduced resources. The signature-checking 
terminal sends a random number a and measures the time taken by the card to send back a signal s using this random number. If the time is 
greater dian a given duration, the signature is rejected even if the check of its audienticity is positive. In addition, part of the signature (the 
part which does not use the secret caid key but only the public algorithm parametere) is prccalculated and stored in the card in the form of 
signature portions produced by a compression function such that they are short. Only the second part of the signature has to be calculated 
by the card. According to the invention, the calculations to be made are simple so that the card docs not require extensive calculation and 
memory resources. 



(57) Abr^^ 

L* invention conceme les proc^6s de g6n6ration de signature numdrique de messages dlectroniques. L' invention propose de modifier 
les algorithmes de g6ndration de signature tels que DSA ('Digital Signature Algorithm") pour permettre k des cartes ^ puces d faibles 
ressources de calcul et de mdmoire de produire des signatures numdriques avec un haut degrf de s6:urit6 malgr6 leurs faibles ressources. 
On pr6voit que le terminal de verification de signature envoie un nombre aldatoire a ct chronomfttre Ic temps mis par la carte pour renvoycr 
une signature s utilisant ce nombre aldatoire. Si le temps est supdrieur k une durde d6termin6e, la signatixre est rejetde mdmc si la verification 
de son authenticity est positive. D'autre part, on pr6voit qu^une partie de la signature (partie qui n'utilise pas la cM secrete de la carte 
mais seulement des param^tres publics de Talgorithme) est pr6calcul6e et stockde dans la carte sous forme de coupons de signature obtenus 
par une fonction de compression de soitc qu'ils ont une faiblc longueur. Sculc la dcuxiftme partie de signature est k calculcr par la carte, 
et on s'arrange pour que les calculs k cffecturer soient simples pour que la carte n'ait pas besoin de ressources de calcul et de mdmoire 
importantes. 



UNIQUEMENT A TFTRE D'iNFORMATlON 



Codes utilises pour identifier les Etats parties au PCT, sur les pages de couverture des brochures publiant 
des demandes intemationales en vertu du PCT. 



AT 


Amtnic 


GB 


Royauine-Uni 


MW 


Malawi 


AT 


Autriche 


GE 


G^ie 


MX 


Mexique 


AU 


Austnlie 


GN 


Guindc 


N£ 


Kiger 


BB 


Barbade 


GR 


Grtce 


NL 


Pays-Bas 


BE 


Bclgique 


HU 


Hongrie 


NO 


Nontge 


BF 


Burktni Faso 


]E 


Irlande 


NZ 


Nouvelle-Z^lande 


BG 


Bulgtnc 


IT 


luUic 


PL 


Pologne 


BJ 


Btoin 


JP 


Jtpon 


PT 


Ponugal 


BR 


Bi^il 


KE 


Kenya 


RO 


Roumanie 


BY 


B^laius 


KG 


Kirghiziitan 


RU 


F6ddnuion de Russte 


CA 


Ctnada 


KP 


R^blique populaxre d^mocratique 


SD 


Soudan 


CF 


R^blique centnfhcune 




deCorte 


SE 


Sufede 


CG 


Congo 


KR 


R^blique de Cor6e 


SC 


Singapour 


CH 


Suisse 


KZ 


Kazakhstan 


SI 


Slov^nie 


a 


cent d'lvoire 


U 


Liechtenstein 


SK 


Slovaquie 


CM 


Cftmeroun 


LK 


Sri Lanka 


SN 


S6n«gai 


CN 


Chine 


LR 


Liberia 


sz 


Swaziland 


CS 


Tchteoslovaquie 


LT 


Lituanie 


TD 


Tchad 


CZ 


R6publique tchfeque 


LU 


Luxembourg 


TG 


Togo 


DE 


Allemagnc 


LV 


Lettonie 


TJ 


Tadjikisun 


DK 


Dincmorfc 


MC 


Monaco 


TT 


Trinit£-ct-Tobago 


EE 


Estonie 


MD 


R^publique de Moklova 


UA 


Ukraine 


£S 


Espagne 


MG 


Madagascar 


UG 


Ouganda 


n 


Fmlande 


ML 


Mali 


US 


Etats-Unis d'Am^rique 


FR 


France 


MN 


Mocigolie 


UZ 


Ouzbdcistan 


GA 


Gabon 


MR 


Mauritante 


VN 


Viet Nam 



wo 96/33567 



PCT/FR96/00612 



PROCEDE DE GENERATZOM DE SIGNATURES 
ELECTRONIQUES, NOTAMMEHT POUR CARTES A PUCES 

L' invention concerne un precede de generation de 
signatures numSriques de messages electroniques. 

Le proc6d6 s' applique particuliferement h la 
signature de messages par des appareils portables du type 

5 carte ^ puce S microprocesseur . 

Par exemple, il s'agit de signer des messages 
envoyfes par la carte a un terminal de lecture ou a une 
autorit6 centrale; ou encore, il s'agit de faire une 
transaction (cheque electronique) et de signer cette 

10 transaction pour qu'elle puisse §tre authentifiee d'abord 
par le terminal de lecture dans lequel est faite la 
transaction, ensuite par une autoritfe centrale qui gSre 
les transactions. 

Le proced§ qui va §tre d^crit est apparent^ aux 

15 algorithmes de generation de signatures num^riques qui 
ont et§ publics ces dernieres ann§es, notamment par le US 
National Institute of Standards and Technology, tel que 
I'algorithme DSA (Digital Signature Algorithm) deer it 
dans la demande de brevet US 07/738431 et annonce le 30 

20 Aoat 1991 au Registre F6d6ral tenu par cet Institut, 
pages 42980-42982. 

L' invention a pour but de modifier les precedes 
connus, notamment pour les rendre adaptables a des cartes 
a microprocesseur qui n'ont pas des ressources 

25 materielles (processeur, memoires) suffisantes pour 
realiser rapidement des operations mathematiques sur des 
grands nombres, Les algorithmes connus, notamment 
I'algorithme DSA, utilisent des grands nombres pour 
gen^rer les signatures avec un degre de security 

30 suffisant. 
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Pour mieux faire comprendre 1' invention, on va 
d'abord rappeler ce qu'est I'algorithme DSA. 

Une signature DSA est constitute par une pa ire 
{r, s} de grands nombres repr6sent6s dans les 

5 calculateurs par des chaines longues de chiffres binaires 
(160 chiffres) . La signature nuinerique est calculee a 
I'aide d'une serie de regies de calcul, dSfinies par 
I'algori throe, et d'un ensemble de paramdtres utilises 
dans ces calculs. La signature permet a la fois de 

10 certifier I'identite du signataire (parcequ'elle fait 
intervenir une cl6 secrete propre au signataire) et 
I'intSgrite du message signe (parcequ'elle fait 
intervenir le message lui-meme) . L'algorithme permet 
d'une part de generer des signatures, et d' autre part de 

15 verifier des signatures. 

La generation de signature DSA fait intervenir 
une cle secrete. La verification fait intervenir une cl§ 
publique qui correspond a la cle secrete mais ne lui est 
pas identique. Chaque utilisateur possede une paire de 

20 cles (secrete, publique) . Les cles publiques peuvent etre 
connues de tous, alors que les cles secretes ne sont 
jamais devoilees. Toute personne a la capacite de 
verifier la signature d'un utilisateur en utilisant la 
cle publique de celui-ci, mais seul le possesseur de la 

25 cle secrete peut generer une signature correspondant a la 
paire de cles. 

Les parametres de I'algorithme DSA sont les 

suivants : 

- un nombre premier p tel que 2^"^ < p < 2^ 
30 pour L compris entre 512 et 1024 (bornes comprises) , et 

L = 64a pour un a entier quelconque; 

- un nombre premier q tel que 2^^^ < q < 2^^^ 
et p-1 est un multiple de q; 

- un nombre g, d'ordre q modulo p, tel que : 
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g = Y^{P~^)/^ modulo p, oil h est un entier 
quelconque virifiant 

1 < h < p-1 et g > l; 

- un nombre x g6n6r6 alfeatoirement ou pseudo- 
alSatoirement (c'est la cl6 secrdte, fig^e pour un 

utilisateur donnS) ; 

- un nombre y d§fini par la relation 
y = g'^ modulo p; (c'est la cl€ publique li4e h 

la cl§ secrfete) ; les operations modulaires d§f inies ci- 
aprSs, modulo p ou modulo q seront designes par rood p ou 
mod q respectivement; 

- un nombre k gen§r§ aleatoirement ou pseudo- 

alfeatoirement, tel que 0 < k < q. 

Les entiers p, q, et g sont des paramfetres du 
15 syst%me pouvant §tre publics et/ou partagis par un groupe 
d'utilisateurs. Les cUs, secrfete et publique, d'un 
signataire sont respectivement x et y. Le parametre k, 
alSatoire, doit etre regenere pour chaque nouvelle 
signature. Les paramitres x et k sont utilises pour la 
20 ginferation de signatures et doivent §tre gardes secrets. 

Afin de signer un message m (qui sera en gin^ral 
une valeur hach^e d'un f ichier initial M) , le signataire 
calcule la signature {r, s} par : 
r = (g^ mod p) mod q, et 
25 s = (m + xr) /k mod q 

(oa la division par k s'entend modulo q, c'est- 
a-dire que 1/k est le nombre k' tel que kk' = 1 mod q; 
par exemple si q=5 et k = 3 , alors 1/k = 2 car 3x2 = 6, 

soit 1 mod 5) . 

Apres avoir teste que r et s sont differents de 
2§ro, la signature {r, s} est envoyee au virifieur. Le 
v^rifieur est en general le terminal dans lequel est 
ins§r6e la carte a puce qui envoie le message m et la 
signature {r, s}. 
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Le vferifieur, qui connalt p, g (li§s a 

I'application) , y (lie a I'utilisateur) , et m (le message 
qu'il a regu de la carte), calcule : 

a. w = (1/s) mod q 
5 b. ul = mw mod q 

c. u2 = rw mod q 

d, V = [g^^-y^^ mod p] mod q 
Or cette valeur [g^^.y^^ mod p] mod q est 

justement §gale a r si s a la valeur (m + xr) /s mod q. 

Par consequent, le terminal regoit r et s et 
verifie que v est bien egal a r pour accepter la 
signature, ou la rejeter dans le cas contraire. 

Dans ce qui suit, on utilisera indif f eremment 
les termes de signataire ou organe signataire, ou 
dispositif prouveur, ou de carte a puce, pour designer le 
dispositif qui 6met la signature et qui sera en g§n6ral 
une carte a puce* Et on utilisera indif f eremment le terme 
de verifieur, ou organe verifieur ou dispositif 
verifieur, ou terminal verifieur, ou encore autorite de 
controle, pour designer le dispositif qui reqroit la 
signature et la verifie pour accepter ou rejeter une 
transaction ou un message. L' application la plus simple 
de 1' invention est 1' emission d'une signature par une 
carte a puce vers un terminal de lecture dans lequel la 
carte est insSr§e, le terminal executant la fonction de 
verification et etant relie ou non a une autorite 
centrale de gestion. 

Un des buts de la presente invention est 
d'augmenter la securite de generation et verification de 
signatures §lectroniques numeriques, en minimisant les 
moyens de calcul et de memoire qui doivent etre presents 
dans la carte a puce pour produire les signatures. 

II serait en particulier souhaitable de pouvoir 
utiliser dans la carte des microprocesseurs peu chers a 8 
bits, malgre le fait qu'ils ne peuvent pas facilement 
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traiter des grands noinbres, plutet que des 
microprocesseurs plus puissants et plus coQteux. Mais 
cela ne doit pas se faire au detriment de la s§curit6. 

Selon un premier aspect important, 1' invention 

5 propose que la verification par un verifieur (terminal) 
de la signature envoy§e par le signataire (carte) utilise 
une 6tape de chronomitrage de la dur6e s'6coulant entre 
un instant oCi une donn^e (en principe alfeatoire) est 
envoyfee par le virifieur au signataire (carte) et 

10 1' instant oil la signature (utilisant cette donnfee 
al§atoire) revient au verifieur. Si le temps ecoule est 
trop long, c'est que le traitement de calcul de signature 
par le signataire s'effectue de manifere anormale et la 
signature est rejetee mSme si son authenticity est 

15 confirmSe par le verifieur. 

Indirectement, cette solution permet, comme on 
le verra, de conserver la ro§me securite de signature tout 
en utilisant des ressources materiel les faibles 
(puissance de calcul et m^moires) dans la carte t puce. 

20 Des ressources faibles entralnent la necessite de 
modifier les proc6d6s de generation et verification de 
signatures, mais c'est au detriment de la securite. 
L'etape de chronometrage selon 1' invention restaure un 
niveau de securite suffisant. 

25 On decrira en detail cette solution & partir 

d'algorithmes derives de I'algorithme DSA rappeie ci- 
dessus, mais on comprendra que ce premier aspect de 
1' invention est applicable avec d'autres algorithmes meme 
s'ils sont tres differents de I'algorithme DSA. 

30 En resume, le premier aspect de 1' invention 

consiste dans un precede de signature eiectronique, 
comportant la generation d'une signature numerique par un 
organe signataire qui calcule cette signature en 
utilisant une donnee aieatoire envoyee par un organe 
35 verifieur, et la verification de la signature par le 
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v6rifieur qui v6rifie si une condition mathematique 
faisant intervenir la signature envoyee et la donnee 
alfeatoire est reiaplie, ce procede etant caract6risi en ce 
que la verification de la signature envoyee par le 
5 signataire au vferifieur utilise en outre une 6tape de 
chronom^trage de la duree s'ecoulant entre un instant oil 
la donnee al6atoire est envoyee par le v^rifieur au 
signataire et 1' instant oil la signature utilisant cette 
donn6e revient au verifieur aprfes calcul par le 

10 signataire, la signature etant acceptee si le temps 
ecoule est inferieur a une seuil determine et si la 
condition mathematique est verifiee. 

De pr§f§rence, I'algorithme utilise est du type 
dans lequel la generation de signature produit deux 

15 valeurs {r, s}, s etant calculee a partir de r et d'une 
cle secrdte x, et dans lequel la verification de la 
signature {r, s} consiste dans la verification d'une 
egalite v = f(r, s) = r entre r et une fonction f de r et 
de s. On prevoit alors selon 1' invention que la fonction 

20 f est choisie suffisamment complexe pour que la duree de 
recherche d'une valeur s a partir de cette egalite en 
1' absence de connaissance de la cle secrete soit tres 
superieure, meme si elle est faite par un calculateur 
puissant, a la duree de calcul et transmission par la 

25 carte de la valeur s a partir de r et de la cle secrete, 
et ceci meme si la carte utilise un microprocesseur peu 
puissant (microprocesseur de 8 bits a 20 MHz par 
exemple) . Ainsi, en choisissant correctement la condition 
de temps introduite par le chronometrage, on fait en 

30 sorte que cette condition ne puisse pas etre remplie en 
1' absence de connaissance de la cle secrete et notamment 
ne puisse pas etre remplie par une recherche de s a 
partir de I'egalite r = f(r, s) . 
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En pratique, la fonction f (r, s) fait intervenir 
aussi un message m S signer, de sorte qu'on peut la 
noter f (r, s, m) . 

De preference, la fonction f comporte des 

5 calculs math^matiques suivis d'une fonction de hachage 
complexe. La premiere partie de signature r est Stablie 
par d'autres calculs mathematiques, suivis de la mSme 
fonction de hachage complexes 

Cette fonction de hachage complexe est de 

10 preference, comme on I'expliquera plus loin, une fonction 
de compression complexe aboutissant a une reduction de la 
longueur des chalnes de bits obtenues par les calculs 
mathematiques effectues. 

On rappelle qu'une fonction de hachage est une 

15 fonction de traitement logique de chaines binaires, qui 
permet d'obtenir une chalne de car ac teres de longueur 
d6termin6e h partir d'une autre chalne de caracteres de 
mSme longueur ou de longueur differente. Une fonction de 
hachage complexe peut etre obtenue par des hachages 

20 successifs et/ou des calculs mathematiques impliquant les 
resultats de plusieurs hachages. Une compression peut 
§tre obtenue a la fin en prenant comme resultat une 
valeur modulaire, modulo 2®, oCl e est la longueur de la 
chalne finalement d^siree. 

25 Par ailleurs, selon un autre aspect important de 

1' invention, on propose une nouvelle solution pour 
traiter des plus petits nombres dans la carte a puce, 
dans des algorithmes de signature numerique du genre dans 
lequel la signature fait intervenir deux nombres, r et s, 

30 seul le nombre s faisant intervenir la cle secrete de la 
carte et le message a envoyer. 

Ce deuxieme aspect de 1' invention est un 
perfectionnement a un precede de generation de signatures 
qui a et§ deer it dans la demande de brevet frangais 93 

35 14466. Dans cette demande de brevet, il est explique que 
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dans un algorithxne de ce genre (DSA en est un exemple) , 
le nombre r ne depend ni du message in envoyi par la 
carte, ni de la cl6 secrete contenue dans la carte. II ne 
d6pend que de nombres fig§s pour 1' application 

5 consid6r6e, et de nombres aleatoires; par exemple, ces 
nombres sont g, p, q et k dans I'algorithme DSA. II est 
done inutile de faire calculer r par la carte, car cela 
consomme un temps de calcul important. On fait plut6t 
calculer a I'avance par une autorite centrale certifi6e 

10 une s6rie de n valeurs r possibles, notees ri, i 6tant un 
indice allant de 1 a n. On stocke les valeurs ri dans la 
carte. A chaque nouvelle utilisation de la carte, on 
utilise une des valeurs (et on n'utilisera plus cette 
valeur les fois suivantes) • Au moment de signer, la carte 

15 calcule seulement 1' autre partie de signature s, a partir 
d'une valeur r^, de la cle secrete x, du message m, et 
on envoie au verifieur le message m et le couple { rj^, s} 
repr6sentant la signature que le verifieur peut alors 
verifier de la maniere prevue par I'algorithme considere. 

20 Les nombres r^ sont des certificats 

pr6calcul6s, appeles encore des "coupons de signature", 
lis constituent une partie seulement de la signature a 
envoyer, et ils peuvent §tre prepares et stockes a 
I'avance dans la carte. L' indice i represente 1' indice de 

25 coupon utilise lors d'une signature donnee. 

Mais une des difficultes reside dans la grande 
longueur de ces coupons (160 bits dans I'algorithme DSA 
presente ci-dessus) . lis consomment une place importante 
de m^moire non volatile dans la carte; on ne peut pas en 

30 sauvegarder un grand nombre dans la carte si on dispose 
d'une taille limitee de memoire non volatile; et en plus, 
ils entrainent un plus long temps de calcul avec un 
microprocesseur 8 bits puisqu'il faut aller chercher ces 
nombres par petits morceaux. Mais si on utilisait et 

35 stockait des plus petits coupons de signature, la 
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garantie d'authenticite de signature risquerait d'§tre 

bien plus faible. 

L' invention decrite ici permet de concilier le 
souci d'une garantie d'authenticite avec I'utilisation de 
5 plus petits coupons de signature ri. 

L' invention propose done un proc6de de 
g§n6ration de signature electronique par un organe 
signataire et de verification par un organe verifieur, 
utilisant un algorithme de signature numerique dans 
10 lequel la signature envoy§e par le signataire comprend au 
moins un coupon de signature ri et un complfement de 
signature s qui est calcule a partir du coupon ri et 
d'une cl6 secrete x de la carte, cet algorithme 
permettant la verification de signature par un verifieur 
15 k I'aide d'une formule de verification du type 

V = f (ri, s) = ri, 

ce precede etant caracterise en ce que 

a. le coupon de signature est etabli h 
I'avance par une autorite certifi§e, en deux stapes : 

20 - calcul d'un noxnbre represents par une 

chaine binaire longue, a I'aide d'une formule 
math§matique faisant intervenir des grands nombres 
binaires; 

- et modification du resultat de ce calcul 
25 par une fonction de compression complexe rSduisant 
fortement la longueur de ce rSsultat, 

b. une s6rie de coupons differents de faible 
longueur sont ainsi pr§par6s a I'avance et stockes dans 
1' organe signataire (carte a puce a mSmoire et 

30 microprocesseur) , 

c- la generation de signature comporte 
1' envoi d'un coupon ri et d'un complement de signature s 
calculi a partir d'au moins ri et x, 

d. 1' algorithme de verification de signature 
35 comporte un calcul mathematique suivi de la meroe fonction 
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de compression complexe que celle qui a servi a 
1' Elaboration du coupon, et le resultat est compare au 
coupon pour la verification de signature. 

La fonction de compression est de pr§f§rence une 
fonction de hachage complexe qui n6cessite un temps de 
calcul assez long. Ceci donne une s6curit§ importante au 
proc6d6 de g§n§ration et de verification de signature. On 
combine done I'avantage d'une bonne garantie 
d'authenticite de signature avec la possibilite de ne 
sauvegarde dans la carte que des coupons de petite 
taille, done la possibilite d'en sauvegarde beaucoup. Si 
de surcrolt on utilise le chronom§trage mentionne plus 
haut, on con<?oit qu'on peut r enforcer a un tres haut 
degr§ la garantie d'authenticite. 

Le calcul de la signature s fait bien sHr 
intervenir le message m qu'on veut signer, pour garantir 
non seulement I'authenticite de la signature mais aussi 
1' integrity du message transmis. 

On peut encore ameliorer la securite par une ou 
plusieurs des caracteristiques suivantes : 

La formule de calcul du coupon ri est de 
preference etablie a partir d'un alea J engendre au 
depart par la carte et stocke dans la carte pour etre 
reutilise lorsque le coupon sera utilise pour 
I'etablissement d'une signature. 

On peut prevoir que pour declencher la 
generation d'une signature, le terminal verifieur envoie 
un aiea a a la carte et declenche alors le chronometre ; 
on prevoit aussi que I'etablissement du complement de 
signature utilise necessairement cet aiea a et que la 
verification de signature necessite egalement cet aiea a. 

Le complement de signature s est de preference 
etabli par un calcul faisant intervenir une fonction de 
hachage SHA(m, a) du message et de cet aiea a, la meme 



) 
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fonction de hachage etant utilisee pour la v§rification 
de signature. 

Le complement de signature s est de pr6f6rence 
gtabli par un calcul faisant intervenir un alea J stock6 

5 dans la carte et ayant servi a etablir le coupon de 
signature. De preference encore, ce calcul de s fait 
intervenir une fonction de hachage SHA(x, J, i) portant 
sur cet a 16a J et sur un indice i represent ant le num€ro 
du coupon utilisfe, cette m§me fonction de hachage ayant 

10 6t6 pr6c§demment utilisee au cours du calcul de chaine 
binaire longue prevu dans le calcul du coupon 
correspondant . Cette fonction de hachage fait de 
preference aussi intervenir la cie secrete x de la carte. 

Le complement de signature s est de preference 

15 etabli par un calcul faisant intervenir une fonction de 
hachage du coupon SHA(ri), la meme fonction de hachage 
SHA{ri) etant utilisee pour la verification de signature. 

Ainsi, selon un aspect particulier de 
1' invention, on propose un precede de generation de 

20 signatures numeriques de messages par un dispositif 
signataire et de verification de ces signatures par un 
dispositif verifieur, le dispositif signataire comportant 
des moyens de calcul, de communication et de retention de 
donnees comprenant au moins une memoire non volatile 

25 programmable eiectriquement, selon lequel on prepare des 
donnees chiffrees constituant des coupons de signature ri 
que I'on charge dans la memoire non-volatile et que le 
dispositif signataire utilise pour signer des messages, 
principalement caracterise en ce que : 

30 - les coupons sont compresses par application 

d'une fonction de compression, dite encore fonction de 
hachage, par une autorite certifiee avant d'etre charges 
dans la memoire, et en ce qu'il comporte les echanges 
suivants : 
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- un message in est transmis et ce message doit 
6tre cert if i§ par une signature; 

le signataire envoie un coupon ri au 

v6rif ieur , 

5 • le vferifieur envoie un nombre aleatoire a au 

signataire et dSclenche un chronomStre, 

le signataire calcule la signature s du 
message et 1' envoie au verifieur, 

- le vSrifieur arrete le chronometre et v6rifie 
que la signature a §t§ obtenue par le secret d§tenu dans 
la carte et le coupon r^ regu; cette verification est 
faite en verifiant I'egalite suivante : 

V = f (ri, s, m) = ri 

le v6rifieur accepte la signature si la 
condition de verification v = ri est remplie et si le 
temps chronom§tr6 ne d^passe pas une duree predetermine 
impart ie. 

Pour simplifier, dans toute la suite on parlera 
surtout de carte pour le signataire ou signataire. 

D'autres caracteristiques et avantages de 
1' invention apparaitront a la lecture de la description 
dfetaillee qui suit et qui est faite en reference aux 
dessins annexes dans lesquels : 

- la figure 1 decrit I'organigramme d'une carte 
mettant en oeuvre le systeme propose par la presente 
invention; 

- la figure 2 decrit les donnees transmises 
entre la carte et le terminal au moment de 1 'utilisation 
du coupon; 

la figure 3 decrit 1 ' organigramme d'un 
terminal mettant en oeuvre le systeme propose par la 
presente invention; 

- la figure 4 represente les donnees transmises 
entre la carte et I'autorite pendant la phase de 
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chargement des coupons et 1' organisation de la memoire 
d'urie carte aprfes le chargement de n coupons • 

A partir des explications donn^es en preambule, 
5 on aura compris que le principal avantage des coupons de 
signature prScalculSs selon la m^thode de 1' invention 
reside dans la vitesse de calcul d'une signature par une 
carte basSe sur un simple microcontroleur de 8 bits et le 
faible taux d' occupation de memoire des coupons stockSs. 
10 Typiquement le calcul de signature peut se faire en 300ms 
environ, temps de transmission compris, et chaque coupon 
peut utiliser de deux a quatre octets de memoire EPROM ou 
EEPROM. 

On va decrire 1' invention dans cet exemple, 
15 6tant entendu que ce n'est qu'un exemple, bien qu'il soit 
consid&re ici comme le plus avantageux. 

Le precede de generation de signatures se 
decompose dans ce cas en deux phases distinctes : le 
chargement des coupons par I'autorite ayant d§livre la 
20 carte, puis I'utilisation de ces coupons par la carte, 
face a un terminal ne connaissant pas le secret x de la 
carte . 

Les deux phases font ici appel a des fonctions 
de hachage de deux types differents. On rappelle qu'une 

25 fonction de hachage d'un nombre, represents par une 
chalne de bits, consiste en la production d'une autre 
chaine de bits de longueur dSterminee, longueur qui est 
ou non la meme que celle de la chalne de depart, et ceci 
a partir de fonctions logiques executees sur des groupes 

30 de bits de la chaine de depart. 

Des fonctions de hachage simples sont utilisees, 
notees SHA(ch) pour le hachage d'une chalne ch. Ces 
fonctions peuvent etre des fonctions de hachage 
classiques, telles que celles publiees dans la recente 

35 norme americaine SHA (Secure Hash Algorithm • FIPS PUB 
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XX, du ler F6vrier 1993, dans "Digital Signature 
Standard" ) . Ces f onctions peuvent etre la fonction MDA 
ou MD5 ou un hachage base sur I'algorithine DES (Data 
Encryption Standard) . 

D'autres f onctions, dites hachage complexe, 
seront utilis6es aussi. Leur caracteristique utilis6e ici 
n'est pas tant d'etre une fonction de hachage que d'itre 
une fonction de ralentissement imposee lors de certains 
traitements de signaux, et aussi d'etre une fonction de 
compression rfeduisant la longueur des coupons de 
signature qu'on veut sauvegarde dans la carte a puce. 

Cette fonction de ralentissement et de 
compression est notee ci-apres H(ch) pour le traitement 
d'une chalne ch. 

Toutes sortes de fonctions de ralentissement et 
compression pourraient etre utilisees dans 1' invention. A 
titre d'exemple on a pris comme fonction H(ch) la 
fonction suivante, oil SHA(ch) designe une fonction de 
hachage class ique : 

H(ch) = SHA[SHA{SHA(ch) }^^^^^^^ mod p) mod 2® , 
od e est la longueur desiree pour les coupons, par 
exemple 16 a 40 bits soit quelques octets. 

Dans tout ce qui suit, on reprendra un 
algorithme directement inspire de I'algorithme DSA, pour 
montrer comment on met en oeuvre les particularites 
originales de 1' invention. Les parametres p, q, g, x, y 
utilises sont ceux definis precedemment a propos de 
1' algorithme DSA. 

CHARGEMENT DE COUPONS P ANS LA CARTE 

C'est I'etape preliminaire, mais bien sQr 
seulement dans le cas o\X on calcule a I'avance, en dehors 
de la carte, la premiere partie r de la signature {r, s} 
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et oCl on charge plusieurs valeurs possibles ri dans la 
carte . 

1. La carte reroet a zero un compteur en 
mfimoire non volatile (EPROM ou EEPROM) , gSnere un al6a J 

5 (de 10 a 20 octets par exemple) , I'enregistre en mimoire 
non-volatile, et I'envoie d I'autorite de contr61e qui 
connalt le secret x de la carte et qui calcule, pour i = 
1 a n, plusieurs valeurs ki et plusieurs valeurs ri : 

10 ki = {l/(SHA(x, J, i)} mod q 

et ri= H(g^^ rood p) ; H est la fonction de 
ralentissement et de compression. 

On pourrait envisager aussi que la carte calcule 
15 pour chaque i la valeur SHA(x, J, i) et I'envoie S 
I'autorite de controle; celle-ci calcule les nombres ri. 

2. L'autorite envoie les nombres ri a la 
carte qui les stocke en memoire, en conservant le lien 

20 avec le repSre i. Les nombres ki ne sont pas conserves. 

Si on se refere k I'algorithme DSA, ki 
reprSsente le nombre k aleatoire, modifi§ h chaque 
nouvelle signature. Mais au lieu d'etre emis par le 
terminal verifieur au moment d'une signature, il sera 

25 recalcule au moment opportun par la carte. Comme il 
depend de i et qu'un coupon d'indice i n'est utilise 
qu'une fois, ki est renouvele a chaque fois. 

UTILISATION D^UN COUPO N POUR SIGNER UN 

30 MESSAGE 



Lorsque la carte d§sire signer un message, le 
protocole suivant est utilise apres transmission du 
message m (de preference sous forme de fonction hachee du 
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veritable message, selon une fonctlon de hachage connue 
du terminal qui re9oit le message) : 

!• La carte 

5 • extrait l'§tat i du compteur 

(repr6sentant I'indice courant de la signature qui va 
Stre produite) , 

- extrait de la memoire non volatile 
l'al6a J; le secret x, le coupon ri correspondant k 

10 I'indice i; 

- calcule I = SHA(x, J, i) ; cette 
valeur I n'est autre que 1' inverse modulaire de qui a 
servi au calcul du coupon ri ; 

- calcule A = xSHA(ri) mod q 

15 - incremente i (pour une prochaine 

signature) 

- envoie r^ au terminal verifieur; 
cet envoi reprfesente la premiere partie de la signature. 

20 2. Le terminal genere alors un alea a, pour 

declencher la generation de la deuxieme partie de 
signature s; cet envoi constitue en quelque sorte le 
lancement d'un d4fi a la carte car le terminal verifieur 
dSclenche en meme temps un chronomStre pour mesurer le 

25 temps de reponse de la carte a ce defi. 

La signature s que la carte doit envoyer, compte 
tenu de la formule de verification f(ri , m, s, a) = r^ 
qui est prevue dans le verifieur est 

s = [xSHA(ri ) mod q + SHA(m, a)]/ ki mod q 

30 

Cette formule fait intervenir le coupon ri , le 
secret x de la carte, le message m envoye^ le nombre ki , 
et l'al§a a envoye par le verifieur a titre de defi* 
Cette formule est differente de celle qui a ete donnee 
35 pour I'algorithme DSA : s = (m + xr) /k pour plusieurs 
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raisons : elle doit faire intervenir l'al6a a envoye ^ 
titre de d6fi, pour que le verifieur soit sQr que le 
calcul chronomfetre de signature s ne commence que lorsque 
l'al6a a est parvenu a la carte. C'est pour cela qu'on 

5 utilise un hachage de m et de I'alea a, SHA (m, a), au 
lieu de m. D' autre part on utilise de preference SHA(ri) 
plut6t que ri pour utiliser une valeur de coupon sous 
forme de chaine plus longue que ri qui est une chaine 
trSs courte. Ceci renforce la securit§. Mais bien 

10 entendu, si on utilise xSHA(ri) au lieu de xri et SHA(m, 
a) au lieu de m, la formule de verification doit en tenir 
compte, et on verra plus loin que c'est ce qui est fait. 
D'autres variantes de calcul de signature peuvent §tre 
pr^vues, k condition s implement que la formule de 

15 verification en tienne compte. 

3. La carte calcule, aussi vite que possible^ 
la signature s. Mais comme elle a deja calculi, avant 
d§clenchement du chronom&tre, A = xSHA(ri) mod q et I = 

20 1/ki = SHA(x, J, i) il ne lui reste qu'S calculer 

s= I.(SHA(m, a) + A) mod q 
Ce calcul peut etre rapide meme pour un 
microcontreieur simple et peu coQteux de 8 bits, par 
exemple type 8051 de Intel ou 6805 de Motorola. D6s que 
25 le calcul est termine, la carte renvoie la signature s. 

4. Des reception de s, le terminal arrete le 
chronomStre et effectue les calculs de verification de 
I'authenticite de la signature. Si la signature a 6te 

30 correctement calculee selon la formule ci-dessus, alors 
on peut verifier qu'on doit avoir I'egalite suivante : 

jy(SHA(ri)/s) mod q g(SHA(m, a)/s) mod q pj 
= g^^ mod p 

35 
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Le v§rifieur ne possede pas ki* II possede ri = 
H(g^^ mod p) ; H est la fonction de ralentissement et de 
compression • 

L'^galite doit done etre transform^e en : 

5 

jjjy(SHA(ri)/s) mod q g(SHA(m,a) /s) mod q pj 
= H{g^^ mod p) = ri 

Le verifieur dispose de rj^, de s, de q, de p, de 
g, de m, de a, de la fonction de hachage simple SHA, et 
de la fonction de ralentissement et de compression H* II 
virifie done I'egalite ci-dessus. 

Si I'egalite est obtenue et si la signature a 
6t§ renvoyee dans un delai inferieur a un seuil 
determine, la signature est acceptee par le verifieur. Si 
une des deux conditions n'est pas remplie, elle n'est pas 
acceptee. 

A titre d'exemple pour 1' evaluation de la dur6e 
on peut donner les indications suivantes : appelons T le 
temps n6cessaire pour evaluer H(ch) sur un ordinateur 
extremement puissant, voire le plus puissant qu'on 
connaisse aujourd'hui. On peut considerer que la fonction 
de ralentissement H, aboutissant a des chaines de 
longueur e (H ayant egalement une f onctionnalite de 
compression) est suffisamment complexe, et en tous cas 
doit etre choisie suffisamment complexe, pour que pour 
toute valeur z et tout ordinateur existant, la recherche 
d'une nouvelle valeur ch' telle que z = H(ch') necessite 
un temps 

Etant donne que quelqu'un qui ignore le secret 
de la carte ne peut rechercher s que par tStonnements a 
partir de la formule de verification (recherche 
exhaustive), il ne pourra pas, meme avec un seul essai, 
trouver une valeur corrects de s si on choisit de mettre 
un seuil de duree de renvoi de signature tres inferieur a 
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cette valeur par exemple 1 millionifime de cette 

valeur. 

Ceci donne une indication de la mSthodologie i 
suivre pour choisir la fonction de ralentissement H et la 
5 durSe de seuil. 



De fapon gen§rale, les principes qui ont ete 
expliqu^s ci-dessus et illustr6s par un exemple sont 
applicables S d'autres protocoles de signature. En 
10 particulier ils sont applicables a d'autres protocoles 
dans lesguels un precalcul de coupons de signature est 
possible, en particulier les protocoles suivants : 

- Rueppel-Nyberg : "New signature schemes based 
on the discrete logarithm problem" publie dans les actes 

15 du collogue Eurocrypt 94. 

Schnorr : "Efficient identification and 
signatures for smart-cards", publie dans les actes du 
collogue Crypto '89. 

- El-Gamal : "A public-key cryptosystem and a 
20 signature scheme based on discrete logarithms" public 

dans la revue IEEE Transactions on Information Theory, 
vol IT30, n*4, pages 469-472. 

Guillou-Quisquater : "A practical zero- 
knowledge protocol fitted to security microprocessors 
25 minimizing both transmission and memory", public dans les 
actes du collogue Eurocrypt '88 et "A paradoxical 
identity-based signature scheme resulting from zero- 
knowledge", publie dans les actes du collogue Crypto' 88. 

- d'autres systemes a cle publigue bas§s sur le 
30 logarithme discret, oCl Inequation (m + xr)/k mod q est 

remplac§e par une autre egalite faisant intervenir m, x, 
r, et k (comme explique dans 1' article "Meta Message 
Recovery and Meta Blind Signature schemes based on the 
discrete logarithm problem and their applications", 
35 public par Horster et al. dans les actes du collogue 
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Asiacrypt'94) ou encore en utilisant plusieurs aleas 
distincts k ou plusieurs secrets distincts x dans la meme 
signature. 

L' invention est applicable a la signature de 

5 ch&ques 61ectroniques et permet alors de faire de tels 
cheques avec des cartes h puces a faible cotlt (resultant 
de 1' utilisation d'un microprocesseur de 8 bits et d'une 
mSinoire non volatile de taille limitee) . 

En effet, le message m peut representer une 

10 transaction effectuee par la carte avec le terminal qui 
est par exeinple le terminal de paiement d'un commergant. 
Ce message m est signe. Le terminal verifie la signature 
pour accepter le message, done la transaction, ma is ce 
terminal est Sgalement relie a une autorite centrale de 

15 gestion (une banque par exemple) qui doit pouvoir elle- 
mfime contr61er le message et 1' authenticity de la 
signature avant de debiter le compte du signataire d'une 
part et/ou crediter le compte du commer<?ant d' autre part. 

Ainsi, apres avoir execute toute la procedure de 

20 signature et verification de signature decrite en detail 
ci-dessus, le terminal envoie a 1' autorite de controle le 
cheque electronique {i, ri, a, s, m} , et I'autorite 
s' assure que la signature s est la bonne signature, 
c'est-a--dire que : 

25 s = SHA(x, J, i)[SHA(m, a) + xSHA(ri)] mod q 

et 1' autorite credite le compte du terminal du 
montant de la transaction definie dans le message m. 

On notera que dans le calcul de la signature par 
la carte, on peut utiliser 1' expression SHA(m, i, a) au 

30 lieu de SHA(m, a). Auquel cas il faut bien sCr que la 
formule de verification par le terminal en tienne compte 
et soit done : 

jj[y(SHA(ri)/s) mod q g(SHA(m, i, a)/s) mod q ^ 

35 
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et que la fonnule de verification de signature 
par l'autorit6 en tienne compte egalement et soit : 

s = SHA(x, J, i)[SHA(m, i, a) + xSHA(ri) ] nod q 

5 Si on se r^ffere aux figures, chaque carte d puce 

se compose d'une unite de traitement (CPU) 11, d'une 
interface de communication 10, une memoire vive 13 (RAM) 
et/ou une m6moire non inscriptible (ROM) 14 et/ou une 
m6moire non volatile inscriptible ou reinscriptible 

10 (EPROM ou EEPROM) 15. 

L'unite de traitement 11 et/ou la ROM 14 de la 
carte a puce contiennent des programmes ou des ressources 
de calcul correspondant a 1' execution des 6tapes de 
calcul effectu6es par la carte lors du chargement des 

15 coupons et lors de la signature d'un message ou 
1' emission d'un cheque electronique. Ces programmes 
comportent notaroment les regies de calcul pour la 
generation de s et les regies d'utilisation de la 
fonction de hachage SHA. L'unite de calcul et les 

20 programmes en ROM comportent egalement les ressources 
necessaires a des multiplications, additions et 
reductions modulaires. Certaines de ces operations 
peuvent etre regroupees (par exemple, la reduction 
modulaire peut etre directement integree dans la 

25 multiplication) . 

De meme que pour I'algorithme DSA, la RAM de la 
carte contient le message M et I'aiea a sur lesquels 
s' applique la fonction de hachage SHA(m, a) ou SHA(m, i, 
a) par exemple. La memoire non volatile 15 contient 

30 typiquement les parametres q, x, J et le jeu de coupons 
(ri) precalcuies. L'indice i est dans un compteur non 
volatile incremente a chaque nouvelle generation de 
signature et remis a zero lors du chargement de coupons. 

L'unite de traitement de la carte commande, via 

35 des bus d'adresses et de donnees 16 et 1' interface de 
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communication 10, les operations de lecture et d'§criture 

en mfemoire 13, 14, et 15. 

Chaque carte a puce est prot^g^e du monde 

exterieur par des protections physiques 17. Ces 
5 protections devraient etre suffisantes pour emp&cher 

toute entity non autorisee d'obtenir la cle secrdte x. 

Les techniques les plus utilisies de nos jours en la 

matidre sont 1' integration de la puce dans un module de 

s6curit6 et l'6guipement des puces de dispositifs 
10 capables de d§tecter des variations de temperature, de 

lumiSre, ainsi que des tensions et frequences d'horloge 

anormales. Des techniques de conception particulieres 

telles que I'embrouillage de I'acces memoire sont 

egalement utilisSes. 
IS Le terminal se compose quant a lui au minimum 

d'une unite de traitement (CPU) 30 et des ressources 

memoires 32, 33, 34. 

Le CPU 30 commande, via les bus d'adresse et de 

donnees 35 et 1' interface de communication 31, les 
20 operations de lecture et d'ecriture dans les memoires 32, 

33, 34. 

Le CPU 30 et/ou la ROM 34 de I'autorite 
contiennent des programmes ou ressources de calcul 
permettant de mettre en oeuvre les regies de calcul et 

25 fonctions de hachage, ralentissement et compression, 
multiplication, addition, inversion modulaire, 

exponentiation et reduction modulaire, necessaires au 
calcul des coupons et a la verification de signature. 
Certaines de ces operations peuvent etre regroupSes 

30 (multiplication et reduction modulaire par exemple) - 

L' ensemble de 1' invention a ete decrite a propos 
de cartes a puces, ma is on comprendra qu'elle est 
applicable lorsque I'organe signataire est un autre 
objet, et en particulier un objet portable tel que des 

35 cartes PCMCIA qui sont des sortes de cartes a puce a 
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protocoles de transmission parallele et non s§rie, ou des 
badges, des cartes sans contacts, etc. La communication 
peut s'effectuer entre la carte et le terminal soit 
directement par des signaux electroniques , soit par 
5 transmission a distance, hertz ienne ou infrarouge. 
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REVENDICATIONS 

!• Precede de signature electron igue, 
comportant la g6n§ration d'une signature numSrigue (s) 
par un organe signataire gui calcule cette signature en 
utilisant une donn^e aleatoire (a) envoyee par un organe 
5 v6rifieur, et la verification de la signature par le 
v6rifieur gui verifie si une condition mathematigue 
faisant intervenir la signature envoyee et la donnee 
aleatoire est reinplie, caracterise en ce gue la 
verification de la signature envoyee par le signataire au 

10 v6rifieur utilise en outre une etape de chronometrage de 
la duree s'ecoulant entre un instant ou la donn6e 
aleatoire est envoyee par le verifieur au signataire et 
1' instant oH la signature utilisant cette donnee revient 
au verifieur apres calcul par 1' organe signataire, la 

15 signature €tant accept§e si le temps ecoule est inf^rieur 
a une seuil determine et si la condition mathematigue est 
verif i§e. 

2, Precede selon la revendication 1, caracterisfe 
20 en ce gue le calcul de la signature et la verification 
sont effectues a partir d'un algorithme du type dans 
leguel la generation de signature produit deux valeurs 
{r, s}, s etant calculee par le signataire a partir de r 
et d'une cle secrete x, et dans leguel la verification de 
25 la signature {r, s} consiste dans la verification d'une 
egalite v = f (r, s) = r entre r et une fonction f de r et 
de s, et en ce gue la fonction f est choisie suffisamment 
complexe pour gue la duree de recherche d'une valeur s a 
partir de cette egalite en 1' absence de connaissance de 
30 la cle secrete x soit tres super ieure, meme si elle est 
faite par un calculateur puissant, a la duree de calcul 
et de transmission par la carte de la valeur s a partir 
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de r et de la cl€ secrfete, et ceci meme si la carte 
utilise un microprocesseur peu puissant. 

3. Proc6d§ selon la revendication 2, caract6ris6 
5 en ce que la fonction f(r, s) fait intervenir aussi un 

message m k signer. 

4. Proc6d§ selon I'une des revendications 2 et 3, 
caract6risi en ce que la fonction f comporte des calculs 

10 math6inatiques suivis d'une fonction de hachage complexe 
(H) realisant a la fois un ralentissement de I'obtention 
d'un resultat de calcul et une compression de longueur de 
ce resultat, 

15 5. Procede selon la revendication 4, caracterise 

en ce que la premiere partie de signature r est fetablie 
par d'autres calculs math^matiques, suivis de la m§me 
fonction de hachage complexe (H) • 

20 6. Proc§de de generation de signature et de 

verification selon I'une des revendications 1 a 5, 
caract6ris6 en ce que la signature envoyie par le 
signataire comporte au moins un coupon de signature r^ et 
un complement de signature s qui est calcule a partir du 

25 coupon ri et d'une cle secrete x de la carte ^ le proced§ 
permettant la verification de signature par le v6rifieur 
a I'aide d'une formule de verification du type 
V = f (ri, s) = ri, 

ce proced§ etant caracterise en ce que 
30 a. le coupon de signature est etabli a 

I'avance par une autorite certifiee, en deux etapes : 

- calcul d'un nombre represente par une 
chalne binaire longue, a I'aide d'une formule 
math^matique faisant intervenir des grands nombres 
35 binaires; 
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- et modification du resultat par une 
fonction de compression complexe reduisant fortement la 
longueur de ce resultat, 

b* une serie de coupons differents de faible 
5 longueur sont ainsi prepares a I'avance et stockes dans 
I'organe signataire, 

c. la generation de signature comporte 
1' envoi d'un coupon ri et d'un complement de signature s 
calcul6 ^ partir de ri, et x, 
10 d. la verification de signature comporte un 

calcul mathematique suivi de la meme fonction de 
compression complexe que celle qui a servi S 
1' elaboration du coupon, et le resultat est compare au 
coupon pour la verification de signature. 

15 

7. Proc6d6 de generation de signature electronique 
pouvant utiliser une etape de chronometrage selon la 
revendication 1, ce precede comportant la generation 
d'une signature par un organe signataire et la 

20 verification de la signature par un organe verifieur, 
caracterise en ce que la signature envoyee par le 
signataire comprend au moins un coupon de signature ri 
et un complement de signature s qui est calcule a partir 
du coupon ri et d'une cle secrete x de la carte, la 

25 verification de signature par le verifieur etant 
effectufee a I'aide d'une formule de verification du type 
V = f (ri, s) = ri, et en ce que : 

a. le coupon de signature est etabli a 
I'avance par une autorite certifiee, en deux etapes : 

3Q - calcul d'un nombre represents par une 

chalne binaire longue, a I'aide d'une formule 
mathematique faisant intervenir des grands nombres 
binaires; 
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- et modification du resultat par une 
fonction de compression complexe reduisant fortement la 
longueur de ce resultat, 

to. une serie de coupons differents de faible 
5 longueur sont ainsi prepares a I'avance et stockfis dans 
I'organe signataire, 

c. la generation de signature comporte 
I'envoi d'un coupon ri et d'un complement de signature s 
calculi k partir d'au moins r^ et 
10 d. la verification de signature comporte un 

calcul math6matigue suivi de la meme fonction de 
compression complexe que celle qui a servi S 
1 'Elaboration du coupon, et le resultat est compare au 
coupon pour la verification de signature. 

IS 

8. Precede selon la revendication 7, caracterisi 
en ce que la fonction de compression est une fonction de 
hachage complexe. 

20 9. Precede selon I'une des revendications 7 et 8, 

caracterise en ce que le calcul du coupon est effectue a 
partir d'un aiea (J) engendre au depart par la carte et 
stocke dans la carte pour etre reutilise lorsque le 
coupon sera utilise pour I'etablissement d'une signature. 

25 

10. Precede selon I'une des revendications 7 a 9, 
caracterise en ce que, pour declencher la generation de 
signature par la carte, I'organe verifieur envoie un aiea 
a a la carte, declenche alors un chronometre, mesure le 

30 temps mis par la carte pour renvoyer le complement de 
signature s calcuie a partir d'au moins I'aiea a et la 
cie secrete x de la carte, effectue un calcul de 
verification de signature a partir d'au moins la 
signature s et I'aiea a, et accepte la signature si le 

35 calcul verifie une condition predeterminee et si le temps 
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mis par la carte pour renvoyer la signature s utilisant 
I'alea a est inferieur a un seuil predetermine, 

11. Precede selon I'une des revendications 7 a 10, 
5 caracterise en ce que le complement de signature s est 

etabli a partir d'une fonction de hachage SHA(m, a) d'un 
message m a signer et de I'alea a, et en ce que la meme 
fonction de hachage est utilisee pour la verification de 
signature. 

10 

12. Precede selon I'une des revendications 7 a 11, 
caracterise en ce que le complement de signature est 
etabli par un calcul faisant intervenir un alea (J) 
stocke dans la carte et ayant servi a etablir le coupon 

15 de signature, 

13. Precede selon la revendication 12, caracterise 
en ce que ce calcul faisant intervenir I'alea (J) stocke 
dans la carte fait aussi intervenir une fonction de 

20 hachage SHA(x, J, i) portant au moins sur cet alea (J) et 
sur un indice i representant un numero du coupon utilise, 
cette meme fonction de hachage SHA(x, J, i) ayant ete 
precedemment utilisee au cours du calcul de chaine 
binaire longue prevu dans le calcul du coupon 

25 correspondant . 

14. Precede selon I'une des revendications 7 a 13, 
caracterise en ce que le complement de signature est 
etabli par un calcul faisant intervenir une fonction de 

30 hachage du coupon, la meme fonction de hachage du coupon 
etant utilisee pour la verification de signature. 

15. Precede de generation de signatures numeriques 
de messages par un dispositif signataire et de 

35 verification de ces signatures par un dispositif 
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virifieur, le dispositif signataire comportant des moyens 
de calcul, de communication et de retention de donn§es 
comprenant au moins une memoire non volatile programmable 
electriquement, proc6d6 selon lequel on prepare des 
donnSes chiffr6es constituant des coupons de signature ri 
que I'on charge dans la memoire non-volatile et que le 
dispositif signataire utilise pour signer des messages, 
principalement caracterise en ce que : 

- les coupons sont compresses par application 
d'une fonction de compression (H) , dite encore fonction 
de hachage, par une autorite certifiee avant d'Stre 
charges dans la memoire, 

et en ce qu'il comporte les echanges suivants : 

- un message m est transmis et ce message doit 
etre certifiS par une signature; 

le signataire envoie un coupon r^ au 

v6rif ieur, 

- le verifieur envoie un nombre al6atoire a au 
signataire et dfeclenche un chronometre, 

- le signataire calcule la signature s du 
message et 1' envoie au verifieur, 

- le verifieur arrete le chronometre et verifie 
que la signature a ete obtenue par le secret detenu dans 
la carte et le coupon ri regu; cette verification est 
faite en vferifiant I'egalite suivante : v = f (r^, s, m) = 

- le verifieur accepte la signature si la 
condition de verification v = ri est remplie et si le 
temps chronom6tr6 ne depasse pas une duree pr§determin§ 
impart ie. 
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